Die Remotehilfe „ Quick Assistent“ ist als Windows App bereits vorinstalliert und ein praktisches Tool für Nutzer, die den Helpdesk in Anspruch nehmen wollen oder müssen, weil sie alleine nicht weiterkommen.
Jetzt ist das nützliche Tool in den Fokus von Hackern geraten, die darüber mittels Social-Engineering-Angriffen Schadsoftware verbreiten. Microsoft Sicherheitsforscher der Abteilung „Thread Intellegence“ haben eine Hackergruppe namens „Storm 1811“ identifiziert, die seit rund 2 Monaten Kampagnen durchführen und dabei auch die Ransomware „Black Basta“ verbreiten.
Die Forscher erläutern, dass die Hacker Vishing Angriffe nutzen, um den Opfern vertrauliche Informationen zu entlocken und den Fernzugriff über das Remotehilfe-Tool zu erhalten. Dazu starten Sie Link-Listing- Angriffe, überfluten das Postfach der Zielperson mit Mails und bieten dann telefonisch Hilfe an – getarnt als Helpdesk- oder IT Mitarbeiter von Microsoft.
Die Sicherheitsforscher erklären dazu : „Bei dem Anruf überredet der Bedrohungsakteur den Benutzer, ihm über Quick Assistent Zugriff auf sein Gerät zu gewähren“. Startet das potentielle Opfer die Remotehilfe, geben den Code ein, den sie vom „Berater“ erhalten und akzeptieren die Bildschirmfreigabe samt Kontrollübernahme, hat der Hacker sein Ziel erreicht und kann das System steuern.
Danach luden die Hacker unterschiedliche Batch-Skripte und Zip-Dateien herunter und installierten darüber Schadsoftware – Cobalt Strike, Quakbot oder Black Basta – und weitere Tools, wie Screenconnect oder Netsupport Manager. Teilweise wurde ein SSH Zugriff eingerichtet, um weitere PC eines Netzwerkes zu kompromittieren.
Wie kann man Netzwerke schützen?
Die Sicherheitsforscher empfehlen, das Remotehilfetool zu deinstallieren oder zumindest zu blockieren. Wichtig sei auch die Schulung der Mitarbeiter hinsichtlich der Erkennung von Betrug im Internet und am PC und die Aufklärung zum Schutz aller Informationen – privat und geschäftlich. Nur wer aufmerksam auf Details in Mails achtet, schützt sich effektiv gegen Vishing, Phishing und andere Bedrohungen.